< /p>
Исследователи безопасности обнаружили, по их мнению, «возможную массовую эксплуатацию» уязвимостей в сервере WS_FTP компании Progress Software.
Исследователи Rapid7 начали замечать признаки эксплуатации 30 сентября на нескольких экземплярах. из WS_FTP.
В среду компания Progress выпустила исправления для восьми отдельных уязвимостей в WS_FTP, включая одну, получившую максимальный балл 10 по шкале серьезности CVSS. Несколько дней спустя компания заявила, что на тот момент не было никаких доказательств эксплуатации.
Исследователи не уточнили, какие из уязвимостей использовались, но отметили, что, похоже, «одна или несколько» из включенных в Предметом попыток эксплойта стали рекомендации Progress по восьми уязвимостям.
Атаки начались вечером 30 сентября, и Rapid7 получила оповещения от нескольких клиентских сред о попытках атак с разницей в несколько минут, согласно сообщению в блоге Кейтлин Кондон, старшего менеджера по исследованию уязвимостей в Rapid7.
После Проанализировав цепочку эксплойтов, исследователи пришли к выводу, что этот процесс оказался одинаковым для всех инцидентов, о которых они были предупреждены, что потенциально может указывать на то, что киберпреступник пытается совершить массовую попытку эксплуатации уязвимых экземпляров WS_FTP.
Исследователи указали на один домен Burpsuite, используемый в каждой проанализированной ими попытке использования эксплойта, что дополнительно подтверждает идею о том, что за попытки несет ответственность один злоумышленник.
Рассказывая о цепочке атак, Rapid7 сказал, что ответственность несет дочерний процесс. за выполнение NTUSER.dll, которая, как предполагается, после анализа связана с законным набором для постэксплуатационной обработки Бишопа Фокса Silver.
В настоящее время количество попыток эксплойта, по-видимому, невелико, и их можно увидеть по ограниченному набору телеметрических данных. Боб Рудис из GreyNoise Intelligence, например, заявил, что по состоянию на 1 октября его команда все еще не обнаружила никаких попыток.
Исследователи из AssetNote, которой приписывают обнаружение CVE-20233-40044, уязвимость максимальной серьезности в WS_FTP, заявил, что его телеметрия показывает, что программное обеспечение для передачи файлов установлено на 2900 хостах, многие из которых являются крупными предприятиями, правительствами и образовательными учреждениями.
Progress Software сообщила, что у продукта 40 миллионов пользователей, а на ее веб-сайте конкретно указаны некоторые из ее высокопоставленных клиентов, в том числе игровая компания RockSteady, команда НФЛ Denver Broncos, Scientific American и гигант розничной торговли H&M.
< p>Код подтверждения концепции (PoC) для CVE-20233-40044 начал распространяться в Интернете через два дня после того, как Progress опубликовал рекомендации по безопасности.
Когда выпускаются рекомендации по безопасности, код PoC часто разрабатывается довольно быстро, что означает использование эксплойта. попытки обычно следуют.
Rapid7 подчеркнул важность скорейшего обновления до последней версии WS_FTP, которая включает в себя необходимые обновления для решения проблем безопасности, затрагивающих широкий спектр предыдущих версий программного обеспечения.
Для клиентов, которые используют WS_FTP с модулем Ad Hoc Transfer — конфигурацией, на которую нацелена подгруппа из восьми уязвимостей, раскрытых Progress, — им настоятельно рекомендуется либо отключить, либо удалить модуль.
Progress Software год, который нужно забыть
Проблемы, затрагивающие WS_FTP, являются последними в непростом году для компании-разработчика программного обеспечения, создавшей этот продукт.
Другой из ее продуктов для передачи файлов, MOVEit Transfer, в начале этого года стал объектом массовой эксплуатации со стороны Команда киберпреступников Cl0p.
Группа, которая в этом году превратилась в банду хакеров и вымогателей, полностью отказавшись от элемента вымогательства, взломала как минимум 400 организаций после использования нулевого дня в MOVEit. Перенос.
Большинство атак включало кражу данных у жертв и удержание их с целью выкупа. Эту тактику в течение 2023 года применяло все большее число преступников, связанных с программами-вымогателями, включая Cl0p, RansomHouse, BianLian и Karakurt.
В результате Массовая эксплуатация MOVEit Transfer, компания Progress столкнулась с рядом судебных исков из-за атак, которые продолжаются спустя несколько месяцев после их начала в июне.
Исследователи из Coveware заявили в июле, что ожидают, что кампания Cl0p против MOVEit увенчается успехом. киберпреступники получили от 75 до 100 миллионов долларов, и что жертвы платили гораздо более высокие выкупы по сравнению с предыдущими атаками Cl0p.
“Хотя кампания MOVEit может в конечном итоге затронуть более 1000 компаний напрямую, а это на порядок Говоря более косвенно, очень небольшой процент жертв пытался договориться, не говоря уже о том, чтобы заплатить», — сказал Ковевер.
«Те, кто заплатил, заплатили значительно больше, чем предыдущие кампании Clop, и в несколько раз больше, чем средняя глобальная сумма выкупа в 740 144 доллара». ®
